WordPress Delete Comments By Status plugin <= 1.5.3 - Local File Inclusion kwetsbaarheid

De Path Traversal kwetsbaarheid in Delete Comments By Status maakt het mogelijk voor een aanvaller om bestanden buiten de toegestane directory te benaderen. Dit kan bijvoorbeeld gebruikt worden om configuratiebestanden, database credentials of andere gevoelige informatie te stelen. Een succesvolle exploitatie kan leiden tot een compromittering van de gehele WordPress installatie en de daaraan gekoppelde data. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de aanvaller de mogelijkheid heeft om de server te verkennen en gevoelige data te bemachtigen.

WordPress websites using the Delete Comments By Status plugin, particularly those running older versions (0.0.0 - 2.1.1), are at risk. Shared hosting environments where file permissions are not strictly controlled are especially vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/delete-comments-by-status/*

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/delete-comments-by-status/../../../../etc/passwd

1. 2025-03-03Disclosure

   disclosure

1. Gereserveerd2025-02-03
2. Gepubliceerd2025-03-03
3. Gewijzigd2026-04-28
4. EPSS bijgewerkt2026-04-02

De primaire mitigatie voor CVE-2025-25130 is het updaten van de 'Delete Comments By Status' plugin naar versie 2.1.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegangsrechten tot de plugin directory via de webserver configuratie (bijvoorbeeld Apache .htaccess of Nginx config). Controleer ook de WordPress installatie op verdachte bestanden of wijzigingen die kunnen wijzen op een inbreuk. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot een bestand buiten de toegestane directory via de plugin interface; dit zou moeten mislukken.